Pri každom otvorení webu sa na pozadí pýta DNS, kde sa daná stránka nachádza. Klasicky tieto dotazy prebiehajú nešifrovane, takže ich vidí každý po ceste. DNS over HTTPS to mení. Poďme si vysvetliť, čo to je a prečo sa oplatí.

Krátke pripomenutie: čo je DNS

DNS je telefónny zoznam internetu, ktorý prekladá názvy webov (napríklad tiptech.sk) na IP adresy serverov. Bez neho by sme si museli pamätať čísla. Viac v článku čo je DNS.

Problém klasického DNS

Tradičné DNS dotazy idú otvorene, bez šifrovania. Znamená to, že váš operátor, prevádzkovateľ WiFi alebo ktokoľvek po ceste vidí, na ktoré weby sa pýtate. Dotazy sa dajú aj odpočúvať či zmeniť a presmerovať vás na podvodnú stránku.

Čo je DNS over HTTPS

DNS over HTTPS (skratka DoH) zašifruje vaše DNS dotazy a pošle ich cez bežné zabezpečené spojenie HTTPS, rovnaké, aké používajú weby. Vďaka tomu:

  • Nikto po ceste nevidí, na ktoré weby sa pýtate.
  • Dotazy sa nedajú jednoducho podvrhnúť a presmerovať vás inam.
  • Zlepšuje sa súkromie aj bezpečnosť, najmä na cudzích sieťach.

Podobnú funkciu plní aj DNS over TLS (DoT), ktorý šifruje dotazy iným spôsobom, no s rovnakým cieľom. Rozdiel je hlavne v tom, kade idú: DoH posiela dotazy na porte 443 spolu s bežnou web prevádzkou, takže sa ťažšie rozpozná a blokuje. DoT používa vlastný port 853, čo správcom siete uľahčuje jeho riadenie. Pre bežného používateľa robia oba to isté.

Verejné DNS servery, ktoré DoH podporujú

Šifrované DNS zvyčajne nepoužívate cez DNS od operátora, ale cez verejnú službu. Najznámejšie sú:

  • Cloudflare 1.1.1.1 - dôraz na rýchlosť a súkromie, varianta 1.1.1.2 navyše blokuje škodlivé domény.
  • Google 8.8.8.8 - spoľahlivý a rozšírený, bez filtrovania obsahu.
  • Quad9 9.9.9.9 - automaticky blokuje známe škodlivé a podvodné domény (phishing, malvér), čo je dobrá ochrana navyše.

Všetky tri podporujú DoH aj DoT a sú zadarmo.

Ako ho zapnúť

  • V prehliadači. Moderné prehliadače majú DoH v nastaveniach zabezpečenia alebo súkromia, stačí ho zapnúť a vybrať poskytovateľa.
  • V operačnom systéme. Windows aj mobilné systémy vedia šifrované DNS nastaviť systémovo pre všetky aplikácie.
  • V celej sieti. Na routeri alebo lokálnom DNS serveri sa dá DoH nastaviť pre všetky zariadenia naraz.

Na čo myslieť

  • DoH chráni dotazy, nie celé surfovanie. Na ochranu na verejnej WiFi sa stále hodí VPN, viac v článku o rizikách verejnej WiFi.
  • Vo firme môže šifrované DNS obísť firemné filtre, preto sa nastavuje premyslene a centrálne.
  • Komplikuje rodičovskú kontrolu a filtrovanie. Ak filtrujete obsah cez DNS (napríklad blokovanie nevhodných stránok deťom), prehliadač so zapnutým DoH ho môže obísť. Riešením je nastaviť šifrované DNS centrálne na routeri, nie len v prehliadači.
  • DoH skryje, na ktoré weby sa pýtate, ale nie samotné spojenie. Komu sa nakoniec pripojíte, je z IP adresy stále viditeľné. Plné súkromie dáva až kombinácia s VPN.

Chcete bezpečnejšie a súkromnejšie DNS doma alebo vo firme? Ozvite sa nám, nastavíme to správne pre celú sieť.

Tento článok je súčasťou prehľadu Počítačové siete.